Det bliver ofte sagt, at ét enkelt gnist kan starte en skovbrand. Denne analogi er også gældende i den digitale verden, hvor ét enkelt phishing-link udløste kaos på kryptolandskabet og forårsagede bred panik og usikkerhed. Gerningsmanden? En tidligere ansat hos en crypto-wallet-producent, Ledger, der faldt i en phishing-fælde.
Afdækning af Cyberangrebet
Phishing-forsøget begyndte, da den tidligere Ledger-ansats navn og e-mailadresse optrådte i det kompromitterede kode. Dette førte til indledende spekulationer om, at udvikleren var ansvarlig for udnyttelsen. Dog præciserede Ledger, at angrebet blev iværksat, fordi den tidligere ansatte faldt i en phishing-fælde.
Efter at have fået adgang til den tidligere ansattes NPMJS-konto, en pakkehåndterer for programmeringssproget JavaScript, var angriberen i stand til at forårsage betydelig skade. Udviklere bruger disse pakker eller biblioteker til at bygge projekter, herunder decentraliserede apps (dApps), uden at skulle kode alt fra bunden.
Fra Adgang til Udnyttelse
Da angriberen først havde adgang til NPMJS, blev der pushet en ondsindet version af Ledger Connect Kit. Det betød, at enhver projekt, der anvendte Connect Kit, ville indeholde skadelig kode, der var i stand til at omdirigere brugernes midler til en hackers wallet.
De berørte versioner af Connect Kit var 1.1.5, 1.1.6 og 1.1.7, som alle er blevet fjernet fra Ledgers NPM-side. Den skadelige fil var live i omkring fem timer, men Ledger mener, at vinduet, hvor midler blev tømt, var mindre end to timer.
Efterspil og Genopretning
Efter hændelsen pushede Ledger en ny version af Connect Kit (1.1.8) og erklærede, at alle wallets, der anvendte det, automatisk ville blive opdateret. Dog anbefalede de brugerne at vente 24 timer, før de forsøgte at forbinde til en dApp.
Ilkka Turunen, Field CTO hos cybersikkerhedsfirmaet Sonatype, fremhævede potentialet for omfanget af skaden og påpegede det store antal lagre på GitHub, der er afhængige af connect-kit-loader. Denne hændelse understreger vigtigheden af, at udviklere udviser ordentlig hygiejne, når de bruger sådanne pakker.
Begivenheden vakte betydelig angst inden for branchen. Aftab Hossain, investor og rådgiver, gav udtryk for sine bekymringer på X (tidligere Twitter), idet han erklærede, at økosystemet kunne blive alvorligt kompromitteret, hvis én udvikler, der klikkede på et phishing-link, kunne bringe stort set alle betydelige apps’ frontend i fare.
I mellemtiden fros Tether, en udbyder af en stabilcoin, midler knyttet til den wallet, der blev brugt af udnytteren, som havde tømt $484.000 fra DeFi-brugere. Walleten, der var knyttet til en phishing-gruppe kendt som Angel Drainer, havde været involveret i flere andre DeFi-hacks.
Som vi navigerer i den komplekse verden af kryptovalutaer, kan værktøjer som cryptoview.io hjælpe os med at være informeret og sikre. Denne hændelse fungerer som en skarp påmindelse om de potentielle risici i kryptolandskabet og vigtigheden af årvågenhed og sikkerhed.
